Mai multe
Navigare
CAPITOLUL I Dispoziții generale (1-4)
Articolul 1. Obiect și obiectiveArticolul 2. Domeniul de aplicare materialArticolul 3. Domeniul de aplicare teritorialArticolul 4. Definiții
CAPITOLUL II Principii (5-11)
Articolul 5. Principii legate de prelucrarea datelor cu caracter personalArticolul 6. Legalitatea prelucrăriiArticolul 7. Condiții privind consimțământulArticolul 8. Condiții aplicabile în ceea ce privește consimțământul copiilor în legătură cu serviciile societății informaționaleArticolul 9. Prelucrarea de categorii speciale de date cu caracter personalArticolul 10. Prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuniArticolul 11. Prelucrarea care nu necesită identificare
CAPITOLUL III Drepturile persoanei vizate (12-23)
Articolul 12. Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizateArticolul 13. Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizatăArticolul 14. Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizatăArticolul 15. Dreptul de acces al persoanei vizateArticolul 16. Dreptul la rectificareArticolul 17. Dreptul la ștergerea datelor („dreptul de a fi uitat”)Articolul 18. Dreptul la restricționarea prelucrăriiArticolul 19. Obligația de notificare privind rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrăriiArticolul 20. Dreptul la portabilitatea datelorArticolul 21. Dreptul la opozițieArticolul 22. Procesul decizional individual automatizat, inclusiv crearea de profiluriArticolul 23. Restricții
CAPITOLUL IV Operatorul și persoana împuternicită de operator (24-43)
Articolul 24. Obiect și obiectiveArticolul 25. Asigurarea protecției datelor începând cu momentul conceperii și în mod implicitArticolul 26. Operatori asociațiArticolul 27. Reprezentanții operatorilor sau ai persoanelor împuternicite de operatori care nu își au sediul în UniuneArticolul 28. Persoana împuternicită de operatorArticolul 29. Desfășurarea activității de prelucrare sub autoritatea operatorului sau a persoanei împuternicite de operatorArticolul 30. Evidențele activităților de prelucrareArticolul 31. Cooperarea cu autoritatea de supraveghereArticolul 32. Securitatea prelucrării
Articolul 33. Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal
Articolul 34. Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personalArticolul 35. Evaluarea impactului asupra protecției datelorArticolul 36. Consultarea prealabilăArticolul 37. Desemnarea responsabilului cu protecția datelorArticolul 38. Funcția responsabilului cu protecția datelorArticolul 39. Sarcinile responsabilului cu protecția datelorArticolul 40. Coduri de conduităArticolul 41. Monitorizarea codurilor de conduită aprobateArticolul 42. CertificareArticolul 43. Organisme de certificare
CAPITOLUL V Transferurile de date cu caracter personal către țări terțe sau organizații internaționale (44-50)
Articolul 44. Principiul general al transferurilorArticolul 45. Transferuri în temeiul unei decizii privind caracterul adecvat al nivelului de protecțieArticolul 46. Transferuri în baza unor garanții adecvateArticolul 47. Reguli corporatiste obligatoriiArticolul 48. Transferurile sau divulgările de informații neautorizate de dreptul UniuniiArticolul 49. Derogări pentru situații specificeArticolul 50. Cooperarea internațională în domeniul protecției datelor cu caracter personal
CAPITOLUL VI Autorități de supraveghere independente (51-59)
Articolul 51. Autoritatea de supraveghereArticolul 52. IndependențăArticolul 53. Condiții generale aplicabile membrilor autorității de supraveghereArticolul 54. Norme privind instituirea autorității de supraveghereArticolul 55. CompetențaArticolul 56. Competența autorității de supraveghere principaleArticolul 57. SarciniArticolul 58. CompetențeArticolul 59. Rapoarte de activitate
CAPITOLUL VII Cooperare și coerență (60-70)
Articolul 60. Cooperarea dintre autoritatea de supraveghere principală și celelalte autorități de supraveghere vizateArticolul 61. Asistență reciprocăArticolul 62. Operațiuni comune ale autorităților de supraveghereArticolul 63. Mecanismul pentru asigurarea coerențeiArticolul 64. Avizul comitetuluiArticolul 65. Soluționarea litigiilor de către comitetArticolul 66. Procedura de urgențăArticolul 67. Schimb de informațiiArticolul 68. Comitetul european pentru protecția datelorArticolul 69. IndependențăArticolul 70. Sarcinile comitetuluiArticolul 71. RapoarteArticolul 72. ProceduraArticolul 73. PreședinteleArticolul 74. Sarcinile președinteluiArticolul 75. SecretariatulArticolul 76. Confidențialitate
CAPITOLUL VIII Căi de atac, răspundere și sancțiuni (77-84)
Articolul 77. Dreptul de a depune o plângere la o autoritate de supraveghereArticolul 78. Dreptul la o cale de atac judiciară eficientă împotriva unei autorități de supraveghereArticolul 79. Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau unei persoane împuternicite de operatorArticolul 80. Reprezentarea persoanelor vizateArticolul 81. Suspendarea procedurilorArticolul 82. Dreptul la despăgubiri și răspundereaArticolul 83. Condiții generale pentru impunerea amenzilor administrativeArticolul 84. Sancțiuni
CAPITOLUL IX Dispoziții referitoare la situații specifice de prelucrare (85-91)
Articolul 85. Prelucrarea și libertatea de exprimare și de informareArticolul 86. Prelucrarea și accesul public la documente oficialeArticolul 87. Prelucrarea unui număr de identificare naționalArticolul 88. Prelucrarea în contextul ocupării unui loc de muncăArticolul 89. Garanții și derogări privind prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statisticeArticolul 90. Obligații privind păstrarea confidențialitățiiArticolul 91. Normele existente în domeniul protecției datelor pentru biserici și asociații religioase
CAPITOLUL X Acte delegate și acte de punere în aplicare (92-93)
Articolul 92. Exercitarea delegăriiArticolul 93. Procedura comitetului
CAPITOLUL XI Dispoziții finale (94-95)
Articolul 94. Abrogarea Directivei 95/46/CEArticolul 95. Relația cu Directiva 2002/58/CEArticolul 96. Relația cu acordurile încheiate anteriorArticolul 97. Rapoartele ComisieiArticolul 98. Revizuirea altor acte juridice ale Uniunii în materie de protecție a datelorArticolul 99. Intrare în vigoare și aplicare
GDPR > Articolul 33. Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal
Descarcă PDF

Articolul 33 GDPR. Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal

(1) În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice. În cazul în care notificarea nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație motivată din partea autorității de supraveghere în cazul în care.

Conexiuni
Conexiuni

(2) Persoana împuternicită de operator înștiințează operatorul fără întârzieri nejustificate după ce ia cunoștință de o încălcare a securității datelor cu caracter personal.

(3) Notificarea menționată la alineatul (1) cel puțin:

(a) descrie caracterul încălcării securității datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză, precum și categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;

(b) comunică numele și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;

(c) descrie consecințele probabile ale încălcării securității datelor cu caracter personal;

(d) descrie măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.

(4) Atunci când și în măsura în care nu este posibil să se furnizeze informațiile în același timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate.

(5) Operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației de fapt în care a avut loc încălcarea securității datelor cu caracter personal, a efectelor acesteia și a măsurilor de remediere întreprinse. Această documentație permite autorității de supraveghere să verifice conformitatea cu prezentul articol.

Regulamentul general privind protecția datelor

ISO 27701 Considerentele Orientările & Case Law Lasa un comentariu
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.

Here is the relevant paragraph to article 33 GDPR:

6.13.1.1 Responsibilities and procedures

Implementation guidance

As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.


pentru a accesa textul integral

Considerentele

(75) Riscul pentru drepturile și libertățile persoanelor fizice, prezentând grade diferite de probabilitate de materializare și de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală, în special în cazurile în care: prelucrarea poate conduce la discriminare, furt sau fraudă a identității, pierdere financiară, compromiterea reputației, pierderea confidențialității datelor cu caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială; persoanele vizate ar putea fi private de drepturile și libertățile lor sau împiedicate să-și exercite controlul asupra datelor lor cu caracter personal; datele cu caracter personal prelucrate sunt date care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice, apartenența sindicală; sunt prelucrate date genetice, date privind sănătatea sau date privind viața sexuală sau privind condamnările penale și infracțiunile sau măsurile de securitate conexe; sunt evaluate aspecte de natură personală, în special analizarea sau previzionarea unor aspecte privind randamentul la locul de muncă, situația economică, starea de sănătate, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau deplasările, în scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, în special ale unor copii; sau prelucrarea implică un volum mare de date cu caracter personal și afectează un număr larg de persoane vizate.

(85) Dacă nu este soluționată la timp și într-un mod adecvat, o încălcare a securității datelor cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau fraudă de identitate, pierdere financiară, inversarea neautorizată a pseudonimizării, compromiterea reputației, pierderea confidențialității datelor cu caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natură economică sau socială adus persoanei fizice în cauză. Prin urmare, de îndată ce a luat cunoștință de producerea unei încălcări a securității datelor cu caracter personal, operatorul ar trebui să notifice această încălcare autorității de supraveghere, fără întârziere nejustificată și, dacă este posibil, în cel mult 72 de ore după ce a luat la cunoștință de existența acesteia, cu excepția cazului în care operatorul este în măsură să demonstreze, în conformitate cu principiul responsabilității, că încălcarea securității datelor cu caracter personal nu este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice. Atunci când notificarea nu se poate realiza în termen de 72 de ore, aceasta ar trebui să cuprindă motivele întârzierii, iar informațiile pot fi furnizate treptat, fără altă întârziere.

(87) Ar trebui să se stabilească dacă au fost implementate toate măsurile tehnologice de protecție și organizatorice corespunzătoare în scopul de a se stabili imediat dacă s-a produs o încălcare a securității datelor cu caracter personal și de a se informa cu promptitudine autoritatea de supraveghere și persoana vizată. Faptul că notificarea a fost efectuată fără întârziere nejustificată ar trebui stabilit luându-se în considerare, în special, natura și gravitatea încălcării securității datelor cu caracter personal, precum și consecințele și efectele negative ale acesteia asupra persoanei vizate. Această notificare poate conduce la o intervenție a autorității de supraveghere, în conformitate cu sarcinile și competențele specificate în prezentul regulament.

(88) La stabilirea de norme detaliate privind formatul și procedurile aplicabile notificării referitoare la încălcările securității datelor cu caracter personal, ar trebui să se acorde atenția cuvenită circumstanțelor în care a avut loc încălcarea, stabilindu-se inclusiv dacă protecția datelor cu caracter personal a fost sau nu a fost asigurată prin măsuri tehnice de protecție corespunzătoare, care să limiteze efectiv probabilitatea fraudării identității sau a altor forme de utilizare abuzivă. În plus, astfel de norme și proceduri ar trebui să țină cont de interesele legitime ale autorităților de aplicare a legii în cazurile în care divulgarea timpurie ar putea îngreuna în mod inutil investigarea circumstanțelor în care a avut loc o încălcare a datelor cu caracter personal.

Orientările & Case Law Lasa un comentariu
[js-disqus]